(e-book french) - réseaux - cours d'administration d'un réseau informatique - cnrs-urec
Post on 23-Jun-2015
401 Views
Preview:
TRANSCRIPT
Administrationd’un Réseau Informatique
cours@urec.cnrs.f
Administrationd’un Réseau Informatique
1993 Jean-Paul GAUTIER, Bernard TUY
modifications
• 1994-1998 Bernard TUY
Page 1
PLAN
Démarche
Conception d'un Réseau
Mise en oeuvre
Administration /
PLAN
Généralités sur l'administration
Outils système et réseau natifs
Outils du domaine public (1)
Les protocoles d'administration
Les plates-formes commerciales
Outils du domaine public (2)
Page 2
Démarche et finalité
Distinguer deux phases :
• Conception
• Mise en Oeuvre
Finalité :
• Offrir des services aux utilisateurs– Transport, accès à des ressources
– Services (messagerie, web…)
Pour commencer...
Rechercher des personnes qui ont déjà une expérience
• CNRS :– contacter l’UREC (tel.: 01 4427 4260)
• Enseignement Supérieur :– contacter le CRU (tel.: 02 9984 7150 )
• ...
Rechercher les informations disponibles :• GERET: http://www.urec.cnrs.fr/geret.html
• liste IP: ip-request@univ-rennes1.fr
Page 3
Phase de Conception
Plan du Réseau à réaliser
Topologie et Architecture du Réseau
Plans d'adressage, de nommage et de routage
Architecture des services réseaux (DNS, Mail ...)
Organisation des ressources humaines
Sécurité
Administration / Supervision
Plan du Réseau
Elaborer d'emblée un plan d'ENSEMBLE
• Recenser les besoins des futurs utilisateurs
• Inventorier les ressources existantes
• Ne pas dimensionner trop juste...
Le réseau: élément fédérateur de partage des ressources
• éviter l'hétérogénéité des équipements
Page 4
Topologie et Architecture (1)
Un ou plusieurs sites géographiques
• Dispersion < 500 m=> Réseau Fédérateur ou en Etoile
CAMPUS
• Dispersion > 500 m
=> chaque site est vu comme un site isolé
=> choix de l'interconnexion des sites :– Liaisons Spécialisées (LS) France Télécom
– raccordement Numéris, Transpac (X25),...
Topologie et Architecture (2)
Un ou plusieurs bâtiments
Un ou plusieurs étages
CAMPUS ET LAN
=> Prévoir des équipements de concentration des postes de travail par bâtiments, par étages...
– Hubs, Sous-répartiteurs
=> Prévoir des équipements d'interconnexion des groupes de travail entre bâtiments, entre étages...
– ponts, commutateurs , routeurs
Sécurité
• accessibilité restreinte de certaines ressources– Intranet, NAT, Garde Barriere
Page 5
Plan d’adressage (1)
Site isolé
=> faire votre propre plan d'adressage
CAMPUS
• regrouper les entités qui peuvent l'êtreéconomie de réseaux de classe C
• découper les réseaux de classe C en sous-réseauxle plus simplement possible...!
• prévoir des plages d'adressespar site
par groupe
par protocole...
Plan d’adressage (2)
Le site est à proximité d'un réseau existant (réseau de campus...)
• intégration et autonomie :– se concerter avec les administrateurs de ce réseau
– partager une ou plusieurs plages d’adresses
– partager les informations ...et l'expérience
LAN
• indépendance : pour des raisons particulières (sécurité...)– se reporter au cas site isolé
Réseaux privés vs réseaux « publics »
• sécurité
• économie d'adresses « publiques » ou routables
Page 6
Plan de Nommage
Choisir un nom de domaine
CAMPUS
• pour le site (le groupe de sites) où le réseau est déployé
demander conseil :
• Aux administrateurs du réseau auquel vous voulez vous intégrer
• CNRS: dnsmaster@urec.fr
• Renater dnssvp@renater.fr
hiérarchiser le nommage pour
• les sites de taille importante
• pour des entités distinctes
Plan de Routage (1)
Quels protocoles router ?
• IP, Appletalk, Decnet ...
• encapsulation dans IP
CAMPUS ET LAN
Routage statique
Routage dynamique
• choix d’un protocole interne (RIP, IGRP...)
• choix d’un protocole externe (EGP, BGP...)– réserver un numéro de Système Autonome (http://www.nic.fr)
Page 7
Plan de Routage (2)
Routage statique:
• structures de petites dimensions
Routage dynamique interne:
• réseau fédérateur
Routage dynamique extérieur
• accès hors du site (Réseau régional...)
Sécurité
• Filtres
• Segmentation du réseau
Les Services Réseaux (1)
Services Réseau d'intérêt commun :
Service de Noms (DNS)
• cf. plan de nommage
• c'est un service hiérarchique
CAMPUS ( & LAN )
– répartition des domaines d'administration
– coordination entre les gérants
Service de Messagerie (SMTP)
• organisation hiérarchique voire centraliséesi le site est de petite taille
• utiliser les fonctionnalités du DNS (MX records)
Page 8
Les Services Réseaux (2)
Les Network News
• un serveur pour le site est suffisant
CAMPUS ( & LAN )
• connexions nntp avec le(s) serveurs(s) de News régional
• tous les autres accès sur le site se font en mode client sur ce serveur central.
Le trafic Multicast
( Vidéoconférences, Mbone… )
• Quels protocoles de routage multicast ( PIM, DVMRP… ) ?
• Quelle topologie multicast ?
Ressources Humaines (1)
Réseau Local => Admin. Réseau du Laboratoire / Service
Réseau de Campus => Admin. Réseau du Campus
Réseau Régional => France Télécom (ou opérateur) + Equipe Réseau Régional
Renater => France Télécom (ou opérateur) + GIP-Renater
Page 9
Ressources Humaines (2)
Fonction de la taille du réseau, de la répartition géographique, des services à mettre en oeuvre...
• recenser les besoins en personnels
• recenser les personnes disponibles et leur domaine decompétence
Répartir le travail (délégation et coordination)
Prévoir une instance d'arbitrage (d’emblée)
Informer tous les utilisateurs des points de contact
• Noms, Nos de téléphone, Email, No de Fax …
=> Habituer chacun à contacter la personne ad hoc au
problème à résoudre
Phase de Mise en Oeuvre (1)
Topologie et architecture :
• Rédiger un cahier des chargesCNRS : contacter l’UREC pour récupérer un modèle
• contacter les entreprises d'intégration de réseaux, les revendeurs d'équipements de concentration et de routage
• lancer un appel d’offre si le marché est important
• lancer les travaux et s u i v r e leur avancement
• Prévoir un cahier de tests pour recetter le réseau au moment de sa livraison
Page 10
Phase de Mise en Oeuvre (2)
Plan d’adressage
• Réserver le nombre de numéros de réseaux de classe Cdont vous avez besoin (cf la phase conception)
• Prévoir une petite marge pour les imprévus et les extensions ultérieures
• Récupérer les formulaires ad hoc et les envoyer
• Formulaires– http://www.nic.fr/Procedures/IP
• Destinataire– rensvp@renater.fr
– hostmaster@nic.fr
Phase de Mise en Oeuvre (3)
Plan de Nommage
• Réserver le nom de votre domaine auprès :– des administrateurs du réseau auquel vous voulez vous intégrer
– du NIC France, pour un sous-domaine de .FR
– de l’UREC, pour un sous-domaine de .CNRS.FR
• Formulaires– http://www.urec.cnrs.fr/cnrs.fr/
– http://www.univ-rennes1.fr/DNSRENATER/
• Destinataire– dnsmaster@urec.fr
– dnssvp@renater.fr
Page 11
Phase de Mise en Oeuvre (4)
Plan de routage
• préparer les configurations des équipements de routage
• les sauvegarder sur stations de travail
• les (télé-) charger (tftp)
Phase de Mise en Oeuvre (5)
Les Services Réseaux :
• installer un serveur de noms (DNS)– tests en local
– mise en place d’un serveur secondaire– faire ouvrir la zone pour qu'elle soit connue à l'extérieur du site
• installer la messagerie SMTP– faire des tests en local
– faire des tests avec l'extérieur
• installer-éventuellement- un serveur de News
• configurer les équipements nécessaires au routage du traficmulticast
Page 12
Phase de Mise en Œuvre (6)
Organisation des ressources humaines :
• Diffuser les coordonnées des personnes gérant le réseau
• Assurer la formation complémentaire de ces personnes
• Informer et former les utilisateurs à l'utilisation des ressources mises à leur disposition
Administration du Réseau (1)
Administrer : Quoi ?
• Un (plusieurs) Réseau(x) Informatique(s) :
. les supports physiques (câbles)
. les équipements actifs (coupleurs, hubs, routeurs...)
. les services applicatifs (DNS, messagerie...)
. les applications réseau (telnet, ftp, vidéoconférences...)
Page 13
Administration du Réseau (2)
Administrer : Avec qui, avec quoi ?
• administrateurs réseau, opérateurs...
=> organiser les ressources humaines=> segmenter l’administration (LAN, campus …)
• plates-formes d'administration réseau "intégrées"=> constructeurs, commerciales
• outils du domaine public
Tableau récapitulatif
Fonction / service LAN CAMPUS
Dispersion géographique -- (+) + Topologie
Plusieurs bâtiments ou étages + + => Equipements d ’Interco
Adressage indépendant -- (+) +
NAT + + AdressageRéseaux privés + +
Garde barrière + +
Nommage simple + -- Nommage
Nommage hiérarchique -- (+) +
Routage statique + -- (+) RoutageRoutage dynamique --
(+) +
DNS + +
Messagerie + + Services réseauxNews -- (+) +
Trafic Multicast -- (+) +
Personnel >= 1 >= n Administration /
Outils spécifiques + (--) +
Supervision Formation +
Page 14
Bibliographie
Document en cours de rédaction
ftp.urec.fr:/pub/reseaux/cours/OSIP94/guide.draft
Réunion du groupe GERET. Nancy 9 & 10.02.1994
ftp.urec.fr:/pub/reseaux/geret/94.02.admin
OUTILS système et réseau "natifs"
ifconfig
route
netstat
ping
etherfind
snoop
nslookup
Page 15
Ifconfig (1)
ifconfig -a | nom_interface @IP netmask broadcast...
ifconfig permet de configurer une interface réseau ...
et de fixer le netmask et le broadcast :
• ifconfig le0 @ip netmask masque broadcast @ip
• ifconfig le0 netmask + broadcast +
...ou de configurer toutes les interfaces :
• ifconfig -a
ifconfig permet aussi de lire l'état d'une interface:
• ifconfig nom_interface
Route
route add | delete destination gateway metric
route permet la mise à jour de la table de routage
• route add default r-reseau.jussieu.fr 1
• route delete 224.0.0.0 tethys 1
Page 16
Netstat (1)
netstat -i | -s | -a | -r | -n
Netstat fournit des statistiques sur les :– paquets émis ou reçus
– erreurs
– collisions
– protocoles utilisés
• netstat -i | -s
Netstat (2)
Et
• le nom et l'état des interfaces du système. netstat -i
• le contenu de la table de routage. netstat -r | n
• ainsi que l'état de tous les sockets. netstat -a
Page 17
Ping
ping -s | -v nom_machine
ping permet de vérifier l'accessibilité d'une machine distante:
• ping nom_machine
... et de déterminer le temps de transit (RTT)
• ping -s nom_machine
Etherfind
etherfind -i nom_interf | -x | regexp
commande SUN OS
etherfind permet de tracer les trames qui circulent sur lecâble
de visualiser les protocoles utilisés
d'analyser leur contenu (en Hexa !)
• etherfind -i le0 -less 100000
• etherfind -i le1 -broadcast
• etherfind -i le0 -apple
Page 18
Snoop
snoop -s | -d interf_name | -c max_count | -S size | -v | - V | -D |@IP ...
snoop permet de suivre le trafic entre plusieurs machines et de l’analyser au vol ou off-line.
En standard sur les machines sous SolarisEquivalent de tcpdump sous BSD et de Etherfind sous SUN OS
Analyse en clair :
• des trames Ethernet
• des paquets IP...
Nombreux filtres
Nslookup
nslookup | nom_machine | @IP
nslookup interroge des Serveurs de Noms sur les ressources d’un domaine particulier :
• Adresse IP et nom d’une machine
• Adresse du serveur de messagerie du domaine
• SOA ...
? pour obtenir les commandes disponibles
Page 19
Host
host -v | -a | -d nom_machine | @IP serveur_noms
host a un comportement semblable à :nslookup nom_machine | @IP.
on peut collecter des informations complémentaires :
• host -v | -a nom_machine
le mode debug permet de tracer les requêtes émises
• host -d @IP
OUTILS du Domaine Public(1 ère partie)
traceroute
fping
whois
Page 20
Traceroute
traceroute -m | -g | -v Nom_machine | @IP
traceroute affiche la liste des routeurs traversés par les paquets IP pour atteindre la machine distante.
le nombre de sauts est limité à 30, on peut le modifier:
• traceroute -m nb_de_sauts_autorisés
modifier l’adresse source des paquets:
• traceroute -g nvelle_@_source destination
Fping
fping -e | -f nom_fichier | -s noms_machines
fping -comparable à ping- permet de tester l'accessibilité de plusieurs machines distantes simultanément
bien conçu pour être inclus dans des shell scripts
attention à la bande passante du réseau !!
Page 21
Whois (1)
whois -h nom_serveur Nom(s) | @IP...
whois permet d'interroger une base de données contenant des informations sur les réseaux et leurs administrateurs.
les serveurs incontournables :
• rs.internic.net réseaux hors Europe
• whois.ripe.net réseaux européens
• whois.nic.fr réseaux français
Whois (2)
types d’informations consultables :
• nom de domaine: réseaux, admin., @serveurs ...
• No de réseau: nom, admin., système autonome...
• nom de personne: @ postale, e-mail, tel., fax...
• numéro de système autonome: politique de routage, gardien...
vous êtes en charge d'un de ces objets :
• pensez à l'enregistrer et à le maintenir à jour dans la base dedonnées.
Page 22
OUTILS DU DOMAINE PUBLIC(2 ème partie)
SNMP (Simple Network Management Protocol)
Plateformes "Intégrées"
Outils du Domaine
GENERALITES (3)
Administrer : Comment ?
• Définition d'un protocole dédié aux tâches de surveillance :– Simple Network Management Protocol (SNMP)
• Permet aux applications (agents et station centrale) de dialoguer
• Administration centralisée versus administration décentralisée
• SNMP fonctionne également en environnement IPX etAppleTalk
Page 23
SNMP et les autres protocoles d’administration
Simple Network Management Protocol
• Administration d'équipements réseau :
routeur, pont, hub, serveur de terminaux, stations ...
Equivalent OSI : CMIS / CMIP
Common Management Information Protocol
• plutôt utilisé par les opérateurs Telecoms (Telcos)
• dans le cadre des procédures TMN
Telecom Management Network, définies par Bull, HP et IBM
Monde Micro-ordinateurs :
DMI (Desktop Management Interface)
• Bien adapté aux "télé-actions"
SMS (Microsoft)
NMS (Novell)
Les objets "administrables"
Informations structurées selon le modèle SMI
• Structure of Managed Information
• regroupées dans des MIB
• utilisent le langage à objets de description ASN-1
Management Information Base (Bases de Données)
• RFC1155, 1156 (MIB I) et RFC 1213 (MIBII) ...
• Elles contiennent– des objets standards, ou variables, (définis par les RFCs)
– et des extensions propriétaires (MIB privées) .
Exemples d’objets :table de routage, nombre de collisions, taille des files d'attentes
beaucoup de compteurs : charge du CPU, paquets reçus ...
• Ces MIB sont implantées par les fournisseurs du système d'administration réseau
Page 24
MIB et classes de variables
Les variables des MIB sont classées en groupes
MIB II est divisée en 10 groupes :
• system
• interfaces (attachements réseaux)
• at (traduction d'adresses)
• ip
• icmp
• tcp
• udp
• egp
• transmission (attachements particuliers Token Ring, LocalTalk ...)
• snmp
La MIB standard contient # 200 variables
MIB : exemple
Groupe system est composé de 7 variables :
• sysDescr
• sysObjectId
• sysUpTime
• sysContact
• sysName
• sysLocation
• sysServices
Page 25
SNMP : mise en oeuvre
Un agent SNMP
• implanté dans l'équipement à administrer– Unix : snmpd
• répond aux requêtes de la station d'administration
• envoie des alarmes (traps ) à ces stations
La station d’administration
• Envoie des commandes– Get : lecture d’une variable de la MIB (std ou privée)
– Set : mise à jour d'une variable sur les équipements
• Reçoit les alarmes envoyées par les agents des équipements
• peut déclencher une action sur réception d'évènement(programmes C, scripts shells,e-mails, Nos de tel. ...)
SNMP
Avantages
• Simple donc implémenté sur de nombreux équipements
• Permet d'administrer du matériel hétérogène
• C'est le protocole le plus largement répandu
Inconvénients
• Brut de fonderie :Il faut un administrateur compétent
• Sécurité limitée à un contrôle sur la communauté(community string)
• Administration répartie ou hiérarchique impossible
Page 26
SNMPv2
Simple Network Management Protocol Version 2
• RFC 1441-1452 (normalisation pas achevée)
Corrige la plupart des défauts de jeunesse de SNMP (v1)
sécurité, lecture groupée de variables ...
• v2C : nouvelles fonctionnalités, mais peu sûre
• v2U (ou USec) : inclut l'authentification
• v2 = v2U + encryptage + configuration à distance
Administration réseau hiérarchisée
Tarde à être porté par les fournisseurs de logiciels
Plateformes "intégrées"
Sun Net Manager / Solstice Enterprise Manager
HP Openview
Netview / Systemview
Spectrum
ISM - OpenMaster
SNMPc
Page 27
Sun Net ManagerSolstice Enterprise Manager
Plateforme de base supportant de nombreux "packages"d’administration de constructeurs divers :
• Cisco, Novell, Sun et compatibles ...
Utilise également les RPC (surveillance des ressourcessystème)
Version courante
• Solstice v2.x
s’appuie sur SNMP v1 et partiellement v2
compatible CMIP et TMN
HP Openview
Ensemble de logiciels assez complet (trop ?)
• Noyau HP Openview
• Rapports statistiques
• modélisation des flux de données (EASY) ...
• description en ligne des variables des MIB standard
Page 28
Netview 6000Systemview
Systemview est l'intégration de Netview 6000 et de Tivoli
Netview 6000 est comparable à HP Openview dont il est issu
• pour plate-formes IBM, SUN, HP et Cabletron sous Unix
• fonctionne sous Windows NT
• administration distribuée
• administration et surveillance multiprotocole
• base de données associée
Version courante
• fusionnée avec Tivoli
Spectrum
Ensemble logiciel très complet développé par Cabletron
• permet de gérer la plupart des matériels habituellement rencontrés (y compris AppleTalk)
• vue intégrée des différents types d’équipements
• administration hiérarchique et distribuée
• Base de données associée
Orienté objet
Nécessite une station d'administration puissante
Page 29
ISM - OpenMaster
Plate-forme orientée objet de Bull
composée de 6 modules :
• Operation Center . Trans Master
• SQL Master . Access Master
• PC Operation Center . TMN Master
permettant d’administrer des
• systèmes
• applications et Bases de Données distribuées
• réseaux de PC et Télécoms
sécurisée
Tourne sur SCO, SUN (Solaris), et Amdahl (... Windows NT + HPUX)
SNMPc
Package réduit mais fonctionnalités d'administration de base bien implantées.
Pour plate-forme PC DOS Windows
Version courante
Prix
Investissement
Page 30
OUTILS du Domaine Public(2 ème partie)
ttcp (adm)
tcpdump (adm)
nnstat (adm)
netman (ana + stat)
Internet Rover
MIT snmp toolkit (adm)
CMU snmp (adm)
Ttcp
ttcp est un outil d'évaluation de performances (débit)
établissement d'une connexion en mode socket entre 2machines :
• la quantité de données à transférer et la taille des buffers est paramétrable ...
Attention à la charge induite sur le réseau !
Page 31
Tcpdump
tcpdump permet de visualiser et d’analyser le trafic entre plusieurs machines.
comparable à snoop et etherfind
• filtres, analyse au vol ou off-line ...
tcpview : variante graphique de tcpdump :
• plus facile à utiliser
• meilleure exploitation des résultats
Nnstat(1)
nnstat est un outil d'analyse statistique, il permet d'accéder aux informations habituelles :
• @Eth, @IP, #port, type ...
SAA : Acquisition des données sur chaque élément à surveiller (filtres)
SCH: Centralise les données recueillies par les différents SAA installés sur le(s) réseau(x).
Page 32
Nnstat(2)
nnstat ne dispose :
• ni d'outils de traitement des données
• ni d'outils de présentation des données
la programmation de l’outil (fichier de commandes)
nécessite... un peu de temps !
=> évaluer les informations dont on a réellement besoin ...
NeTraMet
netramet est assez comparable à nnstat...
la syntaxe du fichier de configuration est franchement ésotérique !
pas d'outils d'analyse
=> On peut oublier ce produit...
Page 33
Netman (1)
Netman est composé de 3 modules:
Etherman
• Visualise la matrice instantanée du trafic
• Fournit des statistiques sur ces flux
Interman
• Visualise les sessions simultanées entre machines deplusieurs réseaux
• Permet de voir les concentrations de connexions
Packetman
• Capture des paquets et analyse
• Filtres
Internet Rover
Ensemble de fonctions permettant :
surveiller la présence des équipements sur le réseau (ping)
de vérifier la disponibilité des services
• (messagerie, service de noms, ftp ...)
Log des évènements
Fonctionne en mode console ou fenêtre X11
BSD ?
Page 34
MIT SNMP toolkit
Kit de développement SNMP fournit :
• snmpd et snmptrapd
• snmpget, snmpset, snmpgetnext et snmptrap
Applications graphiques :
• map (sur X11) dessin d'un réseau sans interactivité
• xsnmp:– Représentation graphique d'un réseau hétérogène
– Couleur des liens en fonction de leur BP
Facile
CMU SNMP(1)
Kit de développement SNMP, contient les primitives :
• snmpget, snmpset, snmpgetnext et snmptrap
• snmptrapd, snmpd
• snmpstatus et snmptest=> récupérer l'état d'un agent SNMP
Page 35
CMU SNMP(2)
LAPP_SNMP : sur-ensemble pour rendre CMU plus facile à utiliser.
Fournit les primitives :
• lapp_snmp_get
• lapp_snmp_set
• lapp_snmp_getNext
Récapitulatif
SunNet Manager Admin Rés Sun, HP + ? Bsd + SolarisHP Openview Admin Rés + Anal HP, Sun Syst VNetView 6000 Admin Rés Risk 6000 Syst VSpectrum Admin Rés Sun, HP, ... Syst V + BsdSNMPc Admin Rés PC DOS / Windows
Snoop Admin Rés + Anal std SolarisEtherfind Admin Rés + Anal std SunOS 4.x
Ttcp Perf DPTcpdump Admin Rés + Anal DP BsdNnstat Stat DP Bsd + SolarisNetman Admin Rés + Anal DP BsdInetRover Admin Rés DP Bsd + Solaris ?
MIT snmp Admin Rés DP Bsd + ?CMU snmp Admin Rés DP Bsd + BSDi
Page 36
Conclusion
Administrer / surveiller le Réseau est indispensable
Moyens humains (à organiser et former)
Moyens matériels
• "manuels" : outils natifs et du domaine public (+ vos scripts !)
• automatiques: plates-formes intégrées commerciales
Attention :
• de nouvelles technologies réseaux émergent :– Réseaux Virtuels Commutés (VLAN)
• elles ne sont pas prises en compte par les produits existants
• on a recours à des outils dédiés pour combler le vide ...
Page 37
top related